Prüfung Datenschutz – Datenschutz-Compliance
Prüfung Datenschutz – Datenschutz-Compliance
Nach Art. 32 Abs. 1 lit. d DS-GVO sind Wirksamkeitskontrollen zu etablieren. Mit dem eingesetzten Prüfverfahren muss der Verantwortliche ausreichende Garantien erhalten, dass eine angemessene Sicherheit der Verarbeitung besteht.
Insoweit ist es notwendig, dass von einer vertrauenswürdigen Stelle kontrolliert wird, ob festgelegte technische oder organisatorische Maßnahmen auch tatsächlich eingehalten werden.
Wirksamkeitskontrollen stellen ein Instrument zur systematischen Überprüfung der prognostizierten Risiken dar. Negative Feststellungen in durchgeführten Wirksamkeitsprüfungen zeigen ebenso wie eingetretene Vorfälle, dass technische und organisatorische Maßnahmen nicht ausreichend umgesetzt wurden.
Bei Bedarf sind daher in diesen Fällen die Ergebnisse durchgeführter Risikoanalysen entsprechend anzupassen. Zur Wirksamkeitskontrolle kommen die folgenden fünf Verfahren in Frage:
- Eigenkontrolle: Kontrolle durch den Datenschutzbeauftragten
- Auftragskontrolle: Kontrolle durch einen externen Dritten
- Eigenkontrolle und Auftragskontrolle mit geringem Schutzbedarf: Selbstaudit der verarbeitenden Stelle
- Sample Audit: regelmäßig durchzuführende Kontrollen
- Technische Prüfungen: Kontrolle spezifischer Anwendungen oder Infrastrukturen
Wirksamkeitskontrolle durch Datenschutzbeauftragte – Prüfung Datenschutz – Datenschutz-Compliance
Datenschutzbeauftragte sind aufgrund ihrer Unabhängigkeit nach ErwG 97 DS-GVO geeignet, Wirksamkeitskontrollen durchzuführen. Bei ihrer Tätigkeit sind sie aufgrund ihrer Stellung im Unternehmen keinen Interessenkonflikten nach Art. 38 Abs. 6 DS-GVO ausgesetzt.
Die vom Datenschutzbeauftragten durchgeführten Kontrollen sind in einer Weise zu dokumentieren, die sowohl risikosteigernde als auch risikomindernde Umstände aussagekräftig festhält.
Kontrolliert der Datenschutzbeauftragte des Auftragsverarbeiters für den Verantwortlichen, ist der zugehörige Bericht empfängergerecht bereitzustellen.
Wirksamkeitskontrolle durch einen externen Dritten – Prüfung Datenschutz – Datenschutz-Compliance
Wenn die Kontrolle durch einen externen Dritten erfolgen soll, ist darauf zu achten, dass der verwendete Prüfplan alle relevanten Punkte beinhaltet. Erfolgt die externe Kontrolle beispielsweise im Rahmen einer von den Aufsichtsbehörden genehmigten Zertifizierung und weist diese Zertifizierung einen geeigneten Anwendungsbereich auf, dient das Zertifikat sowohl für den Auftragsverarbeiter als auch den Verantwortlichen als geeigneter Nachweis i. S. v. Art. 24 Abs. 3, 25 Abs. 3, 28 Abs. 5, 32 Abs. 3 bzw. 46 Abs. 2 lit. f DS-GVO. Dabei ist jedoch vor allem darauf zu achten, dass die Zertifizierung tatsächlich im Einklang mit Art. 42 Abs. 5 DS-GVO von einer bei der Deutschen Akkreditierungsstelle (DAkkS – nationale Akkreditierungsstelle nach Art. 43 Abs. 1 lit. b DS-GVO) oder einer Aufsichtsbehörde nach Art. 43 Abs. 1 lit. a DS-GVO akkreditierten Stelle erteilt wurde und dass sich die Zertifizierung auf einen geeigneten Anwendungsbereich.
Wirksamkeitskontrolle durch Selbstaudit – Prüfung Datenschutz – Datenschutz-Compliance
Führt die verarbeitende Stelle selbst unter Verwendung einer Checkliste Wirksamkeitskontrollen durch, spricht man von einem Selbstaudit. Weisen die verarbeiteten Daten nur einen geringen Schutzbedarf auf oder erfolgt wechselseitig zum Selbstaudit ein Fremdaudit, liefert ein Selbstaudit auf der Grundlage einer definierten Checkliste ausreichende Gewissheit.
Wirksamkeitskontrolle durch Sample Audit – Prüfung Datenschutz – Datenschutz-Compliance
Unter einem Sample Audit ist die Kontrolle fachkundig ausgewählter Bereiche zu verstehen. Dies stellt sicher, dass im Rahmen des Auditprogramms über einen festgelegten Zeitraum alle Bereiche kontrolliert werden. Sichergestellt wird dadurch auch, dass im folgenden Audit die im vorangegangenen Audit festgestellten Defizite behoben werden. Zertifizierungen berücksichtigen das üblicherweise.
Wirksamkeitskontrolle durch technische Prüfungen – Prüfung Datenschutz – Datenschutz-Compliance
Mittels eines Penetrationstests oder Sicherheitsaudits können Spezialisten in der Regel fundierter prüfen, wie anfällig eine Anwendung oder technische Infrastruktur für Angriffe ist. Ziel ist dabei nicht die Verarbeitung personenbezogener Daten, sondern die Ermittlung von Schwachstellen, die durch Angreifer ausgenutzt werden können, um sich unbefugt Zugriff zu verschaffen.
Die Berichte der technischen Prüfung sollten aussagekräftig sein, die getroffenen Feststellungen präzise beschreiben und Empfehlungen zur Behebung der festgestellten Schwachstellen enthalten. Anhand der Empfehlungen ist schließlich zu prüfen, welche Abhilfemaßnahmen getroffen werden können, um das Risiko für die Rechte und Freiheiten der Betroffenen zu reduzieren.
S+P Infothek Datenschutz-Compliance – Auslagerung Datenschutzbeauftragter mit S+P
Besuchen Sie auch unseren Informationsbeiträge zu folgenden Datenschutz-Themen
- Datenschutz für Unternehmer – Management in der Pflicht
- AEAO zum Steuergeheimnis – Anpassung an Datenschutz-Grundverordnung
- Neue Datenschutz-Grundverordnung – Datenschutz-Compliance im Griff?
- EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan
- Datenschutz-Compliance erfüllen
Seminare zum Thema Datenschutz finden Sie direkt beim S+P Unternehmerforum.
Überwachung der Geschäftsbeziehung - §10 Abs. 1 Nr. 5 GwG - S&P Consulting
[…] im Fokus der Bankenaufsicht werden Ihnen die Ausgestaltung der Schnittstellen zwischen Compliance, Datenschutz, IT, Zentrale Stelle und Interner Revision näher gebracht. Auch die Mindestanforderungen zum […]